เราเคยได้ยินข่าวจำนวนมากว่ามีคนถูกหลอกถอนเงินจากบัญชีธนาคาร เพราะไปคลิกลิงก์ต่างๆ ที่ถูกส่งมาผ่าน sms หรืออีเมล ทำให้มิจฉาชีพสามารถเข้าถึงบัญชีธนาคารของเรา ที่เรียกกันว่า การ Phishing ซึ่งมักจะอ้างเป็นลิงก์องค์กรต่างๆ ที่น่าเชื่อถือ เช่นมาจากธนาคาร มาจากสรรพากร มาจากไปรษณีย์ การไฟฟ้าฯ และเมื่อเราเผลอไปกดลิงก์เหล่านั้นทำให้มิจฉาชีพเข้าถึงข้อมูลในมือถือสามารถเข้าสู่บัญชีออนไลน์ของเราจะดูดเงินจากบัญชีธนาคารของเราไปหมดทันที
คำว่า Phishing มาจากคำว่า Fishing ที่แปลว่าตกปลา แต่ Phishing หมายถึงการตกปลาเหยื่อที่ล่อไว้ในอินเทอร์เน็ต
คำถามของผมก็คือ หากเราฝากเงินไว้กับธนาคาร ธนาคารก็ควรต้องรักษาเงินของเราไว้ให้ปลอดภัย การเบิกถอนเงินจากธนาคารปกติ เราต้องมีสมุดบัญชี ต้องมีบัตรประชาชน ต้องมีลายเซ็นจึงจะถอนออกมาได้ การถอนบัญชีจากออนไลน์ เราต้องเข้ารหัส หรือต้องสแกนใบหน้า ธนาคารก็ต้องทบทวนว่า มาตรการที่ธนาคารใช้นั้นเท่าทันกับเทคโนโลยีที่มิจฉาชีพใช้หรือเพียงพอต่อความปลอดภัยหรือไม่ ธนาคารจึงมีหน้าที่ป้องกันเพื่อไม่ให้เงินของลูกค้าที่ฝากไว้กับธนาคารถูกคนที่ไม่ใช่เจ้าของบัญชีถอนไปไม่ว่าจะด้วยวิธีใดก็ตาม
แล้วธนาคารซึ่งทำธุรกิจการเงินที่มีมูลทรัพย์มากมีบุคลากรที่มีความรู้มาก ทำไมไม่สามารถใช้เทคโนโลยีได้เหนือกว่ามิจฉาชีพที่หลบอยู่ในมุมมืด แม้มิจฉาชีพอาจจะพัฒนาเทคโนโลยีให้ต้องไล่ตามตลอดเวลาก็ต้องทำ ไม่ใช่ปล่อยให้มิจฉาชีพใช้วิธีการแบบเดียวกันซ้ำๆ โดยที่ธนาคารไม่หาทางรับมือ หรือจ้างคนที่มีความรู้ด้านไอทีเก่งมาทำงานเพื่อป้องกัน
ความจริงแล้วก็มีฎีกาที่ 6233/2564 นะที่ศาลให้โจทก์ที่เป็นลูกค้าธนาคารที่ถูกดูดเงินไปจากบัญชีโดยให้ธนาคารต้องรับผิดชอบคืนเงินให้โจทก์ครึ่งหนึ่งที่ถูกมิจฉาชีพดูดไป
โดยศาลเห็นว่า โจทก์มิใช่รายแรกที่ถูกหลอกลวงในลักษณะนี้และมีอีกหลายรายที่ถูกหลอกลวงในลักษณะนี้ย่อมแสดงให้เห็นว่าจำเลยทราบถึงพฤติกรรมการหลอกลวงและวิธีการโอนเงินโดยไม่ชอบดังกล่าวเช่นเดียวกับคดีนี้มาก่อนทั้งเหตุเกิดซ้ำๆ กับลูกค้าจำนวนมากจำเลยซึ่งเป็นผู้มีวิชาชีพเฉพาะกิจการค้าขายหรืออาชีวะและในฐานะที่เป็นผู้ควบคุมระบบมีความสามารถในการตรวจสอบหรือทราบถึงความผิดปกติในการทำรายการต่างๆ ได้แต่เพียงฝ่ายเดียวยิ่งต้องเพิ่มความระมัดระวังและหามาตรการในการป้องกันไม่ให้เกิดความเสียหายดังเช่นที่เกิดในคดีนี้อีกหาใช่ว่าหากมีการกรอกชื่อผู้ใช้และรหัสผ่านที่สามารถยืนยันตัวตนได้แล้วบุคคลดังกล่าวจะสามารถดำเนินการธุรกรรมอย่างใดก็ได้โดยจำเลยไม่มีหน้าที่ในการป้องกันไม่ให้มีการโอนเงินที่ไม่ถูกต้องแต่อย่างใดไม่
ส่วนโจทก์เป็นผู้ใช้บริการธุรกรรมทางการเงินอิเล็กทรอนิกส์ผ่านทางอินเทอร์เน็ตก่อนเกิดเหตุเป็นเวลากว่า 10 ปีทั้งตามใบแจ้งรายการบัญชีออมทรัพย์โจทก์ก็ได้ทำธุรกรรมทางการเงินอิเล็กทรอนิกส์ผ่านทางอินเทอร์เน็ตหลายครั้งโจทก์ย่อมมีความเข้าใจในการทำธุรกรรมทางการเงินผ่านช่องทางดังกล่าวและย่อมทราบถึงคำเตือนของจำเลยตามที่ปรากฏในเว็บไซต์ของจำเลยโจทก์จึงควรมีความระมัดระวังในการตรวจสอบก่อนทำธุรกรรมดังกล่าวมากกว่าที่ปรากฏในคดีนี้ จึงถือว่าโจทก์มีส่วนทำให้เกิดความเสียหายด้วย
พฤติกรรมของโจทก์และจำเลยจึงถือว่ามีส่วนทำให้เกิดความเสียหายในคดีนี้ไม่ยิ่งหย่อนกว่ากัน และเห็นสมควรกำหนดให้จำเลยต้องรับผิดชดใช้เงินให้แก่โจทก์เป็นเงิน 550,000 บาท จากยอดเงินของโจทก์ที่ถูกโอนไป 1,099,999 บาทคือให้ธนาคารชดใช้คืนครึ่งหนึ่ง
แต่ผมคิดว่า ธนาคารมีหน้าที่ที่ต้องรักษาเงินฝากของนำมาฝาก แม้จะสร้างเทคโนโลยีทำให้ผู้ฝากสามารถทำธุรกรรมผ่านออนไลน์ได้ง่ายขึ้น ธนาคารก็มีหน้าที่ที่จะต้องหามาตรการทุกวิถีทางเพื่อป้องกันการ Phishing เงินของลูกค้าออกไปจากบัญชีและต้องรู้เท่าทันมิจฉาชีพ ตรวจสอบให้ได้ว่า เงินที่ลูกค้าทำธุรกรรมผ่านออนไลน์นั้นมาจากโทรศัพท์เครื่องเดียวของลูกค้าที่เคยแจ้งเบอร์บัญชีไว้กับธนาคารหรือไม่ และรัฐบาลที่มีหน่วยงานที่รับผิดชอบเรื่องนี้ไม่ว่า ตำรวจไซเบอร์ ธนาคารแห่งประเทศไทย กสทช. บริษัทโทรคมนาคม ควรจะต้องมาหารือเพื่อหามาตรการในการรับมือกับมิจฉาชีพเหล่านี้
ถ้าองคาพยพของรัฐที่มีอยู่ไม่สามารถรับมือกับเทคโนโลยีของโจรที่ซ่อนอยู่ในมุมมืดได้ ผมว่า นั่นเท่ากับเราเป็นรัฐล้มเหลวแล้ว ส่วนตัวผมคิดว่า ธนาคารจะต้องรับผิดชอบเงินเต็มจำนวนเพราะมีหน้าที่ที่จะเก็บรักษาเงินของลูกค้าไว้ให้ปลอดภัยและถ้าบริษัทโทรคมนาคมถูกใช้เป็นเครื่องมือในการหลอกลวง ก็ต้องมีส่วนร่วมรับผิดชอบในฐานะตัวการร่วมด้วย
ประมวลกฎหมายแพ่งและพาณิชย์มาตรา 672 ถ้าฝากเงินท่านให้สันนิษฐานไว้ก่อนว่าผู้รับฝากไม่พึงต้องส่งคืนเป็นเงินทองตราอันเดียวกันกับที่ฝากแต่จะต้องคืนเงินให้ครบจำนวน
วรรคสองอนึ่งผู้รับฝากจะเอาเงินซึ่งฝากนั้นออกใช้ก็ได้ แต่หากจำต้องคืนเงินให้ครบจำนวนเท่านั้นแม้ว่าเงินซึ่งฝากนั้นจะได้สูญหายไปด้วยเหตุสุดวิสัยก็ตาม ผู้รับฝากก็จำต้องคืนเงินเป็นจำนวนดังว่านั้น
เห็นไหมว่า กฎหมายเขียนไว้ แม้ว่าเงินฝากนั้นจะได้สูญหายไปด้วยเหตุสุดวิสัยก็ตาม ผู้รับฝากก็จำเป็นต้องคืนเงินเป็นจำนวนดังว่านั้น คือ ธนาคารต้องรับผิดชอบทุกบาททุกสตางค์ที่ลูกค้าฝากไว้เมื่อต้องการถอนเงินออกจากบัญชี จะอ้างว่าถูกคนอื่นมาถอนไปแล้วไม่ได้
โดยในขณะนี้สิงคโปร์ออกกฎหมายได้ให้ธนาคารและบริษัทโทรคมนาคมร่วมกันชดใช้ กรณีลูกค้าถูกหลอกผ่านช่องทางออนไลน์ให้มีผลตั้งแต่วันที่ 16 ธันวาคมที่ผ่านมาโดยนำกรอบความรับผิดชอบร่วมกันหรือ Shared Responsibility Framework (SRF) มาใช้
สหรัฐอเมริกา มีกฎหมายที่เรียกว่า Electronic Fund Transfer Act (EFTA) กฎหมายนี้ให้การคุ้มครองผู้บริโภคเมื่อเกิดการถอนเงินที่ไม่อนุญาตในกรณีที่ผู้บริโภครายงานการใช้จ่ายที่ไม่ถูกต้องภายในระยะเวลาที่กำหนดธนาคารต้องคืนเงินให้
สหราชอาณาจักร มีการใช้ระเบียบ Payment Services Regulations ระเบียบนี้กำหนดให้ธนาคารมีความรับผิดชอบในการตรวจสอบและป้องกันการโกงและจะต้องคืนเงินในกรณีที่มีการถอนเงินที่ไม่ได้รับอนุญาต
และในออสเตรเลียมีการใช้มาตรการ Australian Securities and Investments Commission (ASIC) มีคำแนะนำสำหรับสถาบันการเงินในการจัดการกับการฉ้อโกง ซึ่งรวมถึงความรับผิดชอบในการคืนเงินให้กับผู้ใช้เมื่อเกิดความผิดพลาด
สำหรับประเทศไทยมีข่าวดีว่า จะมีการแก้ไขพระราชกำหนด (พ.ร.ก.) ว่าด้วยการป้องกันและปราบปรามอาชญากรรมด้านไซเบอร์ และขณะนี้อยู่ระหว่างการนำเสนอเข้าสู่การพิจารณาของสำนักงานกฤษฎีกา เพื่อให้ธนาคารและบริษัทโทรคมนาคมต้องรับผิดชอบลูกค้าที่เป็นเหยื่อของการถูก Phishing
ผมคิดว่า รัฐต้องมีหน้าที่หามาตรการให้ประชาชนปลอดภัยจากมิจฉาชีพ ไม่ใช่ปล่อยให้มิจฉาชีพใช้วิธีการเดียวกันซ้ำเพื่อหลอกลวงโดยไม่หามาตรการป้องกัน เช่นเดียวกับธนาคารซึ่งเป็นองค์กรขนาดใหญ่ต้องสร้างมาตรการให้เกิดความมั่นคงในการรักษาเงินของลูกค้า
อาจมีคนจำนวนมากไม่เห็นด้วยกับความคิดนี้ เพราะอาจจะมองว่า ผู้เสียหายมีความผิดพลาดเองที่ไม่ตรวจสอบให้ดี ผมว่านั่นก็ต้องพิสูจน์กัน แต่ถ้าเขาไม่ได้ไปตั้งใจให้รหัสการเข้าถึงบัญชีเสียเองหรือธนาคารไม่มีมาตรการป้องกันที่ดีพอ คนที่มีหน้าที่รักษาเงินฝากของเราให้ปลอดภัยก็คือธนาคาร
ติดตามผู้เขียนได้ที่ https://www.facebook.com/surawich.verawan